---

<?php
mysql_connect("server", "username", "password") or
die(mysql_error());
mysql_select_db("database") or die(mysql_error());
?>
<?php
mysql_query("INSERT INTO blog (titel, indlaeg) VALUES ('echo
$_POST["navn"]', 'echo $_POST["alder"]')") OR DIE(mysql_error());
?>

Hvad er der i skriptet der ikke virker? Siden er helt hvid, når
jeg skriver det.

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Den 22-07-2010 09:58, Nicolai skrev:
> <?php
> mysql_connect("server", "username", "password") or
> die(mysql_error());
> mysql_select_db("database") or die(mysql_error());
> ?>
> <?php
> mysql_query("INSERT INTO blog (titel, indlaeg) VALUES ('echo
> $_POST["navn"]', 'echo $_POST["alder"]')") OR DIE(mysql_error());
> ?>
>
> Hvad er der i skriptet der ikke virker? Siden er helt hvid, når
> jeg skriver det.
>
Det er jo ikke mange oplysninger du giver, men umiddelbart undrer jeg
mig over dine echo-kommandoer?

med forbehold for manglende fnytter:

mysql_query("INSERT INTO blog (titel, indlaeg) VALUES
(".$_POST["navn"]."', '".$_POST["alder"]."')") OR DIE(mysql_error());

---

Efter mange tanker skrev Krabsen:
> Den 22-07-2010 09:58, Nicolai skrev:
>> <?php
>> mysql_connect("server", "username", "password") or
>> die(mysql_error());
>> mysql_select_db("database") or die(mysql_error());
>> ?>
>> <?php
>> mysql_query("INSERT INTO blog (titel, indlaeg) VALUES ('echo
>> $_POST["navn"]', 'echo $_POST["alder"]')") OR DIE(mysql_error());
>> ?>
>>
>> Hvad er der i skriptet der ikke virker? Siden er helt hvid, når
>> jeg skriver det.
>>
> Det er jo ikke mange oplysninger du giver, men umiddelbart undrer jeg mig
> over dine echo-kommandoer?
>
> med forbehold for manglende fnytter:
>
> mysql_query("INSERT INTO blog (titel, indlaeg) VALUES (".$_POST["navn"]."',
> '".$_POST["alder"]."')") OR DIE(mysql_error());

Og der vil gå ca. 1½ minut, så er din database er injceret med snask -
hvis den overhovedet stadig eksisterer.
Input skal valideres, f.eks.
$navn = mysql_real_escape( $_POST[ 'navn']);
$alder = (integer)$_POST[ 'alder'];
mysql_query( "INSERT INTO blog (titel, indlaeg) VALUES '$navn',
'$alder'") OR DIE(mysql_error());

Birger

--
http://varmeretter.dk - billig, sund og hurtig mad
http://bbsorensen.dk

---

Birger Sørensen forklarede den 22-07-2010:
> Efter mange tanker skrev Krabsen:
>> Den 22-07-2010 09:58, Nicolai skrev:
>>> <?php
>>> mysql_connect("server", "username", "password") or
>>> die(mysql_error());
>>> mysql_select_db("database") or die(mysql_error());
>>> ?>
>>> <?php
>>> mysql_query("INSERT INTO blog (titel, indlaeg) VALUES ('echo
>>> $_POST["navn"]', 'echo $_POST["alder"]')") OR DIE(mysql_error());
>>> ?>
>>>
>>> Hvad er der i skriptet der ikke virker? Siden er helt hvid, når
>>> jeg skriver det.
>>>
>> Det er jo ikke mange oplysninger du giver, men umiddelbart undrer jeg mig
>> over dine echo-kommandoer?
>>
>> med forbehold for manglende fnytter:
>>
>> mysql_query("INSERT INTO blog (titel, indlaeg) VALUES
>> (".$_POST["navn"]."', '".$_POST["alder"]."')") OR DIE(mysql_error());
>
> Og der vil gå ca. 1½ minut, så er din database er injceret med snask - hvis
> den overhovedet stadig eksisterer.
> Input skal valideres, f.eks.
> $navn = mysql_real_escape( $_POST[ 'navn']);
> $alder = (integer)$_POST[ 'alder'];
> mysql_query( "INSERT INTO blog (titel, indlaeg) VALUES '$navn', '$alder'") OR
> DIE(mysql_error());
>
> Birger

Og den rigtige hedder
mysql_real_escape_string( ...)
http://dk2.php.net/manual/en/function.mysql-real-escape-string.php

Birger

--
http://varmeretter.dk - billig, sund og hurtig mad
http://bbsorensen.dk